09/11/2018 (Updated on: 21/03/2019)

Le règlement européen sur la protection des données (RGPD ou GDPR en anglais), dont la mise en application sera obligatoire dans tous les États membres de l’Union européenne à compter du 25 mai 2018, accorde aux individus un plus grand contrôle sur leurs données personnelles et impose une responsabilité active aux entreprises afin de garantir son respect. Les entreprises ainsi que les organisations publiques et privées doivent se mettre en conformité avec le règlement GDPR. Or, les services EDICOM garantissent le respect du règlement à partir de cette date. Par ailleurs, la loi prévoit des sanctions allant jusqu’à 20 millions d’euros pour les contrevenants ou jusqu’à 4% du chiffre d’affaires global annuel de l’entité responsable du traitement des données.

Chez EDICOM, nous travaillons afin d’adapter l’ensemble de nos services à la nouvelle réglementation et, par conséquent, garantir le traitement des données et de la vie privée tel que cela est décrit au travers du nouveau cadre réglementaire. Dans ce cas, la garantie est établie dans deux domaines. D’une part, par rapport à nos clients et, d’autre part, en tant que fournisseur de services d’archivage de données électroniques, en offrant des solutions pour que les entreprises puissent se mettre en conformité avec le RGPD par rapport aux données traitées par les citoyens européens.

L’avantage de s’appuyer sur EDICOM en tant que fournisseur est que, outre les connaissances technologiques, nos serveurs sont situés en Europe et respectent donc la réglementation RGPD. Nos clients peuvent être rassurés par rapport au traitement qui sera fait de leurs données, celles-ci étant protégées en vertu de ce règlement.

EDICOMLta, outil d’archivage électronique de longue durée au service du RGPD

L’archivage des données utilisateur aura plus d’importance et plus de protection que jamais. Par conséquent, disposer d’une solution ou d’un service d’archivage conforme au RGPD est essentiel pour n’importe quelle entreprise gérant des données personnelles. Pour cela, EDICOM met à disposition des entreprises un service d’archivage électronique qui sera pleinement conforme aux exigences du RGPD, mais aussi disponible dans le cloud et accessible à l’échelle mondiale. Grâce à la solution EDICOMLta, les entreprises peuvent archiver et protéger les bases de données clients ou toute autre information personnelle contenue dans les contrats, les fiches de paie, les fichiers multimédias, les factures, etc.

EDICOMLta (Long term archiving) est le service de conservation électronique de documents de longue durée proposé par EDICOM en tant que fournisseur qualifié de services de confiance en vertu du règlement eIDAS. Au travers de ce service, les entreprises peuvent garantir l’intégrité et la confidentialité des données traitées. Ces dernières acquièrent par ailleurs la valeur de preuve légale grâce au processus de certification auquel ils sont soumis. Le service applique les méthodes de confiance qualifiées telles que la signature qualifiée et l’horodatage électronique prévus dans le règlement eIDAS.

Dans le cas des entreprises ayant leur siège social en Europe, ayant des clients et des utilisateurs au sein de l’Union européenne pour lesquels les données doivent être traitées et archivées sur des serveurs situés en dehors de l’UE, doivent avoir soit un accord établi selon un label de confidentialité européen, soit les archiver au travers de solutions conformes au RGPD, telles que la solution EDICOMLta.

Pourquoi le RGPD est-il nécessaire ?

La mondialisation, le développement de l’économie numérique et les nouvelles technologies ont provoqué une augmentation de la diffusion d’informations personnelles et le transfert de données personnelles, ainsi que l’échange de ces informations entre opérateurs publics et privés au sein et en dehors de nos frontières. Avec le RGPD, un cadre juridique commun est établi en Europe garantissant un niveau équivalent de protection des droits et libertés des personnes physiques dans tous les États membres. Il élimine, en même temps, les obstacles à la circulation des données personnelles au sein de l’Union européenne, résultant de divergences dans la mise en application de la Directive 95/46/CE.

Toutes les entreprises ou organisations, quelles que soient leur taille, leur chiffre d’affaires ou leur localisation, qui traitent et archivent les données personnelles des citoyens résidents de l’Union européenne, devront revoir leurs processus pour s’adapter au respect du RGPD qui modifie certains aspects du système actuel et introduit de nouvelles obligations. Ce règlement s’applique au traitement total ou partiellement automatisé des données personnelles, ainsi qu’au traitement non automatisé des données personnelles contenues ou destinées à être incluses dans un fichier.

Un plus grand contrôle des données personnelles

La nouvelle norme vise à rendre plus transparentes et accessibles les informations fournies par les citoyens aux entreprises et à améliorer leurs mécanismes de contrôle au travers de nouveaux éléments tels que le droit à l’oubli, la limitation du traitement ou le droit à la portabilité. Sur la base des droits établis par le RGPD pour les personnes qui ont transféré leurs données personnelles à des tiers, les entreprises doivent mettre en œuvre des mécanismes et des procédures qui les garantissent.

Rôle actif des entreprises : responsables, préposés et délégués

L’une des nouveautés les plus importantes envisagées par le RGPD est le rôle actif des entreprises au travers du rôle de « responsable » qui doit appliquer des mesures techniques et organisationnelles qui garantissent et démontrent que le traitement est conforme au règlement. La responsabilité finale du traitement des données personnelles repose sur ce rôle.

D’autre part, le RGPD établit des obligations à la personne nommée « chargé du traitement » – personne physique ou morale, autorité publique, service ou autre organisme qui traite des données personnelles pour le compte du responsable du traitement – qui ne sont pas limités au champ du contrat qui les unit au responsable du traitement et qui peut être supervisé séparément par les autorités de protection des données. Par exemple :

  1. Ils doivent tenir un registre des activités de traitement.
  2. Ils doivent déterminer les mesures de sécurité applicables aux traitements qu’ils effectuent.
  3. Ils doivent désigner un délégué à la protection des données dans les cas prévus par la RGPD.

En outre, selon le règlement, les gestionnaires peuvent adhérer à des codes de conduite ou être certifiés dans le cadre des systèmes de certification fournis par la RGPD, comme preuve qu’ils respectent les garanties requises.